Filtro dei contenuti

dcor68 · Mar 19, 2018, 6:55 AM

Buongiorno a tutti, un piccolo aiuto per capire.
Attivando il filtro dei contenuti sto notando che molti siti vengono bloccati solo se digitati nei browser mentre, se raggiungo loro mediante ricerca di google passano tranquillamenti o quanto meno molti di essi.
Siti pornografici seppur bloccati vengono visualizzati tranquillamente.
Sbaglio qualcosa?
Nel ringraziarvi auguro buona giornata.

vdantoni · Mar 21, 2018, 12:57 AM

Devi darci maggiori informazioni, che sistema stai utilizzando per bloccare i contenuti?Io ti consiglio di usare squid con squidguard e shallalist, o almeno, io uso quello e funziona meglio di qualsiasi alternativa. C'e' un' ottima guida in inglese. https://forum.pfsense.org/index.php?topic=112335.0

Se hai bisogno di ulteriori aiuti facci sapere. Buona giornata anche a te.

dcor68 · Mar 21, 2018, 5:40 AM

Uso esattamente ciò che dici. Configurato il tutto eppure come già detto precedentemente la stragrande maggioranza dei siti porno passa indipendentemente se raggiunti da ricerca google o digitati nel browser. La versione di PFsense è l'ultima. Dimmi di che tipo di informazioni ulteriori hai bisogno
Buona giornata.

dcor68 · Mar 21, 2018, 7:52 AM

vdantoni potresti farmi una gentilezza? Postare screen delle tue videate circa la configurazione della regola DNS e del Proxy server e Squid proxy.
Non vorrei che ho qualche settaggio non consono alla situazione.
Spero di non chiederti molto, in tal caso mi scuso sin da ora.
Ciao

vdantoni · Mar 21, 2018, 12:23 PM

ma figurati. Ti ho mandato alcune pagine di configurazione che mi hai chiesto e un esempio della pagina di blocco. Fammi sapere se te ne servono altre. Comunque ho usato quella guida abbastanza alla lettera.

Magari controlla che non hai impostato un dns sul client e che non stia usando quello invece del dns di fpsense.

dcor68 · Mar 21, 2018, 3:34 PM

Ciao vdantoni e innanzitutto grazie per la gentilezza,
configurazione dns e squid praticamente simile, ciò che io non ho attivo è l'intercettazione https che tu hai mediante certficiato CA e mi chiedo se è quello il problema. Ripeto ci sono siti che vengono bloccati indipendetemente da come vengono raggiunti ma e che appartengono a categorie bloccate.
E' indispendabile attivare SSL? Se si bisogna creare un certificato e installarlo in tutti i client?
A presto

dcor68 · Mar 21, 2018, 4:03 PM

I client come dns hanno tutti il virtualIP del firewall.
I passi di quella guida in pratica cosa fa? Se ti va di aiutarmi a capire te ne sarei grato.
Se non erro abilita solo 3 siti di ricerca giusto?

vdantoni · Mar 21, 2018, 5:28 PM

Ciao,

Quella guida fa tante cose:
1. Imposta tutti i trasferimenti sulla porta 53 su dns resolver, in modo che i client non bypassino il dns resolver
2. Imposta la modalita' "protetta" su google e bing, cosi' non daranno risultati porno, per intenderci, sia come link che come foto
3. imposta la modalita' protetta su youtube, se vuoi. Io non la uso perche' blocca piu' del dovuto
4. ti dice come impostare squidguard con shallalist
5. ti dice come utilizzare wpad come sistema di autoconfigurazione per il proxy.

Sicuramente mi sono dimenticato di qualche dettaglio

Poi, riguardo al post precedente, per bloccare i siti https devi necessariamente attivare SSL. Devi creare un certificato locale da pfsense per utilizzarlo, ma se usi la modalita' transparent proxy con MITM "splice all" non devi istallare il certificato sui client. Un caveat importante e' che se usi la modalita' trasparente i siti HTTPS saranno bloccati se l'url e' nella blacklist (cioe' ad esempio, il blocco del porno funziona) ma i file non saranno decriptati e analizzati (quindi l'antivirus non funziona). Inoltre, se il sito e' nella blocklist, sui siti https invece di darti una pagina di blocco il sito bloccato di dara' un errore SSL invece che una notifica. A parte quello funziona perfettamente.

Inoltre, usare il semplice trasparent proxy sui client windows a volte causa errori SSL, (mentre ad esempio sui dispositivi android funziona perfettamente, mistero) e per quello ti consiglio di usare il sistema di autoconfigurazione WPAD come spiegato dalla guida. Una volta impostato wpad, imposta sotto i pc windows la configurazione automatica del proxy, mentre tutti gli altri dispositivi useranno la modalita' trasparente gia' impostata.

Una volta fatto questo lavoro vedrai che funzionera' tutto come deve.

buona giornata.

dcor68 · Mar 21, 2018, 6:49 PM

Proverò a leggerla attentamente e passo passo vedere se arrivo alla fine.
Nel caso posso chiederti qui aiuto o anche altrove?
Per prima cosa se ho capito bisogna collegarsi in ssh e creare il file conf e inserire poi il percorso server: etc etc in proxy server giusto?

dcor68 · Mar 23, 2018, 4:35 PM

Rieccomi, vdantoni,
ho iniziato a testare parte della guida da te segnalata.
Ci sono alcune cose non chiare: quando in target si crea una whitelist bisogna aggiungere tutti quei domini di google?
Bisogna bloccare le porte 80 e 443?
Potresti postare img delle tue regole di fw se non chiedo troppo?
Domani finisco creando wdap
Tu hai agito su common ACL oppure lì è tutto su DENY e poi hai creato delle regole di gruppo?

vdantoni · Mar 23, 2018, 5:56 PM

allora:

"Bisogna bloccare le porte 80 e 443?"

Personalmente le porte 80 e 443 non le blocco, perche' escludo un paio di periferiche da squid. Il traffico diretto verso quelle porte che non viene escluso viene comunque intercettato dalla modalita' trasparente di squid. Quindi se non lo fai, a mio modesto parere, cambia poco.

"Tu hai agito su common ACL oppure lì è tutto su DENY e poi hai creato delle regole di gruppo?"

non ho messo su deny, ma ho bloccato molte categorie su common acl, mentre ad alcuni pc con ip fisso ho assegnato una categoria molto meno restrittiva, bloccando praticamente solo la categoria spyware e ads.

"quando in target si crea una whitelist bisogna aggiungere tutti quei domini di google?"

Allora, a questo punto dovresti aver settato google e bing in modalita' filtrata. A questo punto dovresti bloccare la categoria "searchengines" sotto common acl, perche' se non lo fai, un utente puo' cercare tutta la roba che cerchi di bloccare su un altro motore di ricerca non filtrato, tipo chesso', yahoo. Basta che immette un risultato per adulti e il gioco e' fatto. Quindi devi bloccare tutti i motori di ricerca.
Il problema e' che cosi' facendo blocchi pure google e bing. E li entra in gioco la whitelist!
Devi per forza sbloccare pure la versione afghana e uruguayana di google?probabilmente no, puoi pure limitarti a google.it, google.com e bing.com credo. Io per pigrizia ho fatto copia/incolla.

Posso mandarti img delle mie regole di firewall, premettendo che non hanno niente di particolare o interessante, quale pagina ti serve?

dcor68 · Mar 23, 2018, 6:44 PM

Allora ti spiego meglio:
la classe che è uso è in /16 e il ns ambiente è una scuola fatta di laboratori, cattedra aule e cattedra laboratori che avranno politiche diverse; per questo di default nego tutto su common acl e poi apro tutto nelle varie classi in /24 andando poi a negare diverse categorie in base alla tipologia di appartenenza dei diversi client.
Al momento sono arrivato a definire google e bing come modalità protetta, per finire mi manca wdap.
Al momento ho seguito la guida e mi sono arenato un po' all'elenco dei vari domini google in whitelist.
Cosa intendi che escludi un paio di periferiche di pfsense?
Per le immagini mi piacerebbe vedere le regole di nat e di fw di lan
Se puoi anche la videata common acl e quelle che ritieni opportune mostrarmi.
Ti ringrazio ancora per la disponibilità

vdantoni · Mar 23, 2018, 9:13 PM

forse dovevo specificare all'inizio che io mi occupo di pfsense solo per diletto, quindi ti parlo sicuramente non da professionista di pfsense.

"Le periferiche che escludo" sono letteralmente due periferiche che ho a casa, un google home mini e un roku, che non sono proprio compatibili col proxy, o quantomeno che non ho interesse a perderci tempo per farle funzionare. Quindi le ho escluse da squid.

Secondo me al momento stai facendo tutto bene. la "lista dei domini di google in whitelist" e' proprio quello che descrive il nome stesso, una lista di domini che non vengono bloccati da squidguard, nonostante la categoria "searchengines" sia bloccata. Vedrai che sara' molto piu' chiaro quando avrai completato la guida per intero e funzionera' tutto.

Da quello che capisco della tua situazione, potresti pure bloccare tutto come common acl, creare un gruppo con una whitelist "aule" e metterci una lista di domini alla quale le aule possono accedere, creare un secondo gruppo con la whitelist "laboratori" con una lista di domini a cui i laboratori possono accedere. Vedrai che una volta settato tutto per bene sara' una bazzecola implementare un sistema simile.

ti mando le foto che mi richiedi nel prossimo post.

vdantoni · Mar 23, 2018, 9:23 PM

foto

dcor68 · Mar 24, 2018, 1:14 PM

Innanzitutto vorrei ringraziarti per la tua cortesia. E' stata preziosa
Ho finito il tutto e deve dire che funziona e anche benissimo.
Con questo sistema sembra che anche l'utilizzo di ultrasurf, sw per scavalcare le poliche del fw sia bloccato.
Grazie

dcor68 · Mar 26, 2018, 2:37 PM

vdantoni un ultimo piccolo aiuto.
Se attivo il certificato in squid server blocca un sito in https che serve (registro elettronico) e lo blocca con una pagina di connessione non riuscita e non di blocco squidguard.
Sai come bypassare il problema? L'ho messo pure in whitelist ma nulla, spesso, non sempre, viene bloccato purtroppo.

vdantoni · Mar 27, 2018, 3:18 AM

Io proverei a fare cosi', supponendo che tu stia usando un'edizione recente di windows come OS. Putroppo non ho una versione di windows in italiano (vivo negli USA) ma spero che tu riesca a trovare il corrispettivo in italiano.

Su i client connessi a pfsense:

1. vai su command prompt e scrivii comando ipconfig /flushdns
2. vai sul pannello di controllo, internet options, lan settings, metti una spunta su automatically detect settings e lascia tutte le altre senza spunta. Google chrome, Internet Explorer ed Edge dovrebbero rispettare quell'opzione, mentre firefox dovrebbe avere un'impostazione nei settings. Se non riesci a trovare un'impostazione di configurazione proxy automatica metti 192.168.1.1/wpad.dat come proxy.

Se ancora non funziona prova a vedere se le impostazioni della guida su wpad siano effettivamente corrette. digita http://192.168.1.1/wpad.dat e ti scarichera' un file di testo che dovrebbe contenere:

function FindProxyForURL(url, host)
{
if (isPlainHostName(host) ||
shExpMatch(host, "*.local") ||
isInNet(dnsResolve(host), "192.168.1.0", "255.255.255.0"))
return "DIRECT";

return "PROXY 192.168.1.1:3128";
}

dcor68 · Mar 27, 2018, 4:09 AM

Ciao vdantoni
l'ho risolto aggiungendo alla voce Custom Options (Before Auth) presente in proxy server>Advanced Features quanto segue:

setup ssl bump acl's

acl bump_step1 at_step SslBump1
acl bump_step2 at_step SslBump2
acl bump_step3 at_step SslBump3

configure bump

ssl_bump peek bump_step1 all
ssl_bump splice all
ssl_bump peek bump_step2 all
ssl_bump splice bump_step3 all

sslproxy_cert_error deny all

I blocchi sono rispettati e i siti https che prima davano messaggio d'errore o sono funzionanti.

La configurazione wpad.dat era corretta; io uso un virtual IP come GW ma nel complesso era giusta.

Grazie!!!

dcor68 · Mar 27, 2018, 10:02 AM

Sembrava risolto ma invece durante l'uso a random si ha "connessione non riuscita"
Il sito presenta diversi IP che cambiano in continuazione e forse il problema è proprio questo.